8.6. 网络
当 NetworkManager 处理大量定期更新的路由表时,CPU 使用率的上升可以忽略不计
在以前的版本中,当外部路由守护进程更新超过数千个路由的大型 IPv6 表时,NetworkManager 将其 CPU 使用率增加到几乎 100%。这可能会减慢整体的系统性能和网络配置的速度。这个问题已通过更新 NetworkManager 源代码,来忽略对路由协议的路由而不是一少部分协议的更改。因此,在前面描述的情形中,CPU 使用率的上升可以忽略不计。
Jira:RHEL-26195[1]
ipv6.ip6-privacy 的值不再在连接激活之间改变
最初,当没有为 ipv6.ip6-privacy 参数设置全局默认值时,其值会恢复回 /proc/sys/net/ipv6/conf/default/use_tempaddr 文件中的值。对 NetworkManager 源代码的最新更改导致它错误地回退到从 /proc/sys/net/ipv6/conf/IFNAME/use_tempaddr 文件中读取的值。因此,IPv6 地址生成更改了,ipv6.ip6-privacy 的值可能会在连接激活之间有所变化。这个问题已通过恢复回原始行为而得到解决。因此,ipv6.ip6-privacy 的值在连接激活之间不会改变。
xdp-loader features 命令现在可按预期正常工作
xdp-loader 工具针对之前的 libbpf 版本进行了编译。因此,xdp-loader 功能 失败,并显示一个错误:
Cannot display features, because xdp-loader was compiled against an old version of libbpf without support for querying features.
现在,工具针对正确的 libbpf 版本进行了编译。因此,命令现在可以按预期正常工作。
Mellanox ConnectX-5 适配器在 DMFS 模式下工作
在以前的版本中,在使用以太网交换机设备驱动程序模型(switchdev)模式过程中,如果在 ConnectX-5 适配器上的设备管理的流稳定(DMFS)模式下配置,mlx5 驱动程序失败。因此,会出现以下错误信息:
mlx5_core 0000:5e:00.0: mlx5_cmd_out_err:780:(pid 980895): DELETE_FLOW_TABLE_ENTRY(0x938) op_mod(0x0) failed, status bad resource(0x5), syndrome (0xabe70a), err(-22)
因此,当您将 ConnectX-5 适配器的固件版本更新为 16.35.3006 或更高版本时,不会出现错误消息。
Jira:RHEL-9897[1]
NetworkManager 可以在 VPN 连接配置集中缓解 CVE-2024-3661 (TunnelVision)的影响
VPN 连接依赖于路由来重定向流量。但是,如果 DHCP 服务器使用无类别静态路由选项(121)将路由添加到客户端的路由表中,并且 DHCP 服务器传播的路由与 VPN 重叠,则可以通过物理接口而不是 VPN 传输流量。CVE-2024-3661 描述了此漏洞,它也称为 TunnelVision。因此,攻击者可以访问用户期望由 VPN 保护的流量。
在 RHEL 中,这个问题会影响 LibreSwan IPSec 和 WireGuard VPN 连接。只有带有 ipsec-interface 和 vt-interface 属性的配置集的 LibreSwan IPSec 连接才未定义,或设置为 no 不受影响。
CVE-2024-3661 文档描述了通过配置 VPN 连接配置集将 VPN 路由放在具有高优先级的专用路由表中缓解 TunnelVision 影响的步骤。步骤可用于 LibreSwan IPSec 和 WireGuard 连接。但是,要将缓解步骤应用到 LibreSwan IPSec 连接配置文件,您必须使用 NetworkManager 1.48.10-5 或更高版本。在 RHEL 9.5 中,这个版本由 RHSA-2025:0377 公告提供。
Jira:RHEL-73167[1]
